Responsabbiltà taħt il-GDPR: x'għandhom jiddokumentaw il-kumpaniji tal-UE
Ir-responsabbiltà taħt il-GDPR tfisser li turi l-konformità, mhux biss tgħidha. Ir-rekords li kumpanija tal-UE għandha żżomm — ROPA, DPIA, politiki — u kif tibni dan il-kumpless.

Il-biċċa l-kbira tal-kumpaniji jqisu l-konformità mal-GDPR bħala stat li tilħaq — tiffirma politika, iżżid banner tal-cookies, u lestejt. Ir-Regolament iqisha bħala xi ħaġa li trid tkun tista' turi. Dak huwa l-prinċipju tar-responsabbiltà, u huwa ċ-ċentru kwiet tal-liġi kollha: taħt l-Artikolu 5(2), kumpanija hija responsabbli għall-konformità mal-prinċipji tal-protezzjoni tad-data u għandha tkun tista' turi l-konformità [1]. Fil-prattika, dik il-wirja hija sett ta' dokumenti — rekords, valutazzjonijiet, politiki u proċeduri li jiddeskrivu, b'mod preċiż u koerenti, kif l-organizzazzjoni tiegħek fil-fatt tittratta d-data personali. Għal kumpanija Ewropea mingħajr dipartiment legali, il-bini u ż-żamma ta' dan il-kumpless huma l-veru xogħol tal-GDPR. Din il-gwida tippreżenta x'jinkludi l-kumpless, għaliex teżisti kull biċċa, u kif l-obbligu jvarja madwar l-Ewropa — inkluż għaliex "Ewropew" mhux l-istess bħal "Renju Unit".
Tweġiba Fil-Qosor. Ir-responsabbiltà taħt il-GDPR (Artikolu 5(2)) tfisser li kumpanija mhux biss trid tikkonforma mal-liġi tal-protezzjoni tad-data, iżda trid tkun tista' turiha — bid-dokumentazzjoni. Il-kumpless ewlieni jinkludi reġistru tal-attivitajiet ta' pproċessar, saff ta' bażi legali u avviżi tal-privatezza, kuntratti mal-proċessuri, u DPIA fejn ir-riskju huwa għoli, kollu miżmum preċiż, speċifiku għall-kumpanija u koerenti internament.
X'tfisser fil-fatt ir-responsabbiltà taħt il-GDPR
Il-biċċa l-kbira tal-obbligi tal-GDPR huma familjari fil-linji ġenerali tagħhom: ikollok bażi legali, tgħid lin-nies x'tagħmel bid-data tagħhom, iżżommha sigura, tirrispetta d-drittijiet tagħhom. Ir-responsabbiltà hija l-prinċipju li jbiddel dawn l-obbligi minn intenzjonijiet f'xi ħaġa li tista' tiġi ttestjata. L-Artikolu 5(2) jagħmel lill-kontrollur "responsabbli għall-konformità, u jista' juri l-konformità" mal-prinċipji tal-protezzjoni tad-data, filwaqt li l-Artikolu 24 jeħtieġ li timplimenta miżuri xierqa u li tkun tista' turi li l-ipproċessar tiegħek jaqbel mar-Regolament [1]. Il-kliem operattiv huwa jista' juri. Konformità li ma tistax turi, fuq il-karta, meta jintalbu, ma tgħoddx.
Dan ibiddel fejn jistrieħ il-piż tal-prova. Awtorità superviżorja li tiftaħ inkjesta, klijent korporattiv li jagħmel due diligence fuq il-fornituri, jew kontroparti li tinnegozja kuntratt ma jibdewx billi jassumu li int mhux konformi — iżda malli jgħidu "urini", ir-responsabbiltà li tipproduċi evidenza koerenti hija tiegħek, mhux tagħhom. U t-test li japplikaw mhuwiex il-volum. Folder ta' politiki ġeneriċi ma jimpressjona lil ħadd; dak li jfittxu r-regolaturi huwa l-ispeċifiċità u l-koerenza interna — dokumenti li jiddeskrivu l-ipproċessar reali tiegħek, isemmu s-sistemi u l-fornituri veri tiegħek, u ma jikkontradixxux lil xulxin. Il-gwida tal-Kummissjoni Ewropea stess għall-organizzazzjonijiet tifformula d-dmir eżatt b'dawn it-termini: turi l-konformità permezz ta' rekords, valutazzjonijiet tal-impatt u dokumentazzjoni tal-ksur [2].
Il-konsegwenzi wara dik il-kelma mhumiex astratti. Il-GDPR isaħħaħ ir-responsabbiltà b'multi amministrattivi sa €20 miljun jew 4 % tal-fatturat annwali globali totali, skont liema tkun l-ogħla, għall-aktar ksur serju [1]. Iżda għall-biċċa l-kbira tal-kumpaniji żgħar u ta' daqs medju l-pressjoni l-aktar qawwija u frekwenti hija kummerċjali aktar milli regolatorja: il-proċess ta' akkwist jew ta' due diligence ta' klijent akbar jitlob ir-ROPA tiegħek, il-kuntratt ta' pproċessar tiegħek u d-dokumentazzjoni tas-sigurtà tiegħek qabel ma jiffirma — u negozju jitwaqqaf fil-ġimgħa li fiha ma tkunx tista' tipproduċihom. Id-dokumentazzjoni tar-responsabbiltà saret bil-kwiet prekundizzjoni biex tbigħ lil organizzazzjonijiet akbar, u l-istess loġika testendi għall-assiguraturi u s-sħab. Huwa għalhekk li l-kumpaniji dejjem aktar jibnu l-kumpless b'mod proattiv, bħala kredenzjal kummerċjali li jħalli lil kontroparti tafdahom bid-data personali, minflok ma jistennew li regolatur jistaqsi.
Għalhekk ir-responsabbiltà tibdel il-perspettiva tal-eżerċizzju kollu. Il-mistoqsija m'għadhiex "aħna konformi?" fl-astratt, iżda "x'nistgħu nuru, issa stess, dwar kull ħaġa li nagħmlu bid-data personali?" Dak kollu li jiġi hawn taħt huwa tweġiba għal din il-mistoqsija.
Il-kumpless tad-dokumentazzjoni: x'għandhom juru l-kumpaniji Ewropej
M'hemm l-ebda "ċertifikat tal-GDPR" wieħed. Minflok, ir-responsabbiltà tintwera permezz ta' sett ta' dokumenti, kull wieħed marbut ma' obbligu speċifiku, li flimkien ikopru kull attività li fiha l-organizzazzjoni tiegħek tipproċessa data personali. Liema biċċiet jeħtieġlek jiddependi minn x'tagħmel — id-dipendenza fuq fornitur iddaħħal kuntratt ta' pproċessar, l-ipproċessar ta' riskju għoli jdaħħal valutazzjoni tal-impatt — iżda s-sinsla hija konsistenti fost il-kumpaniji Ewropej.
F'termini sempliċi, il-kumpless jinbena attività b'attività:
- Reġistru tal-attivitajiet ta' pproċessar (ROPA), Artikolu 30. Id-dokument tas-sinsla: inventarju ta' kull attività ta' pproċessar — liema data, ta' min, għaliex, fuq liema bażi, ma' min tinqasam, kemm tinżamm, x'jipproteġiha. Awtoritajiet nazzjonali bħas-CNIL ta' Franza jippubblikaw mudelli preċiżament għax dan huwa l-istrument li jduru lejh l-ewwel; bi kliem ir-regolaturi, huwa dokument bi skopijiet kemm ta' inventarju kif ukoll ta' analiżi li jrid jirrifletti r-realtà tal-ipproċessar tiegħek [1][4].
- Bażi legali għal kull attività, Artikolu 6 — flimkien ma' valutazzjoni tal-interess leġittimu. Kull attività teħtieġ waħda mis-sitt bażijiet legali. Fejn tistrieħ fuq l-interess leġittimu (Artikolu 6(1)(f)), trid tiddokumenta test ta' bbilanċjar fi tliet partijiet — l-iskop, in-neċessità, u l-bilanċ mad-drittijiet tal-individwu — dixxiplina li l-Qorti tal-Ġustizzja affermat mill-ġdid fis-sentenza KNLTB tagħha tal-2024 [1][9].
- Avviżi tal-privatezza, Artikoli 13–14. Dak li tgħid lill-persuni li d-data tagħhom iżżomm, skont jekk ġbarthiex direttament mingħandhom jew le. L-avviż irid jaqbel mar-ROPA; diskrepanza bejn dak li tgħid u dak li tirreġistra hija eżatt it-tip ta' kontradizzjoni li tfittex awtorità [1].
- Kuntratti ta' pproċessar, Artikolu 28. Kull darba li fornitur jipproċessa data personali f'ismek — uffiċċju tal-pagi, servizz ta' hosting fuq il-cloud, pjattaforma tal-email — l-Artikolu 28 jeħtieġ kuntratt b'termini definiti. Il-Kummissjoni tippubblika klawżoli kuntrattwali standard uffiċjali eżatt għal dan, li kuntratt konformi jista' jibni fuqhom [1][5].
- Salvagwardji għat-trasferiment, Kapitolu V. Jekk id-data personali toħroġ miż-Żona Ekonomika Ewropea, teħtieġ mekkaniżmu validu ta' trasferiment — deċiżjoni ta' adegwatezza, jew il-klawżoli kuntrattwali standard tal-Kummissjoni għat-trasferimenti internazzjonali [1][6].
- Valutazzjoni tal-impatt fuq il-protezzjoni tad-data (DPIA), Artikolu 35. Meħtieġa fejn l-ipproċessar x'aktarx jirriżulta f'riskju għoli — data ta' kategorija speċjali fuq skala kbira, monitoraġġ sistematiku, tfassil ta' profili estensiv. Il-gwida Ewropea tistabbilixxi disa' kriterji u tqis tnejn jew aktar bħala l-iskattatur; kull awtorità nazzjonali tippubblika wkoll il-lista tagħha ta' DPIA obbligatorji [1][3].
- Proċeduri, mhux biss dokumenti. Madwar il-kumpless hemm il-biċċiet operattivi: proċess biex jiġu indirizzati t-talbiet tas-suġġetti tad-data fl-iskadenza ta' xahar (Artikoli 12–22), proċess tal-ksur li jista' jinnotifika lill-awtorità fi żmien 72 siegħa fejn meħtieġ (Artikoli 33–34), u politika interna li tiddeskrivi l-miżuri tekniċi u organizzattivi li jżommu d-data sigura (Artikoli 24, 32) [1].
Dik hija l-anatomija. L-arti hija li tagħmilha tiegħek — kull qasam traċċabbli għal xi ħaġa vera dwar il-kumpanija tiegħek — minflok folder ta' test ġeneriku li jidher plawżibbli.
Regolament wieħed, ħafna regolaturi — il-kwadru Ewropew
Hawn fejn il-perspettiva Ewropea hija importanti, u fejn huwa faċli li tiżbalja billi taqra pariri ċċentrati fuq ir-Renju Unit. Il-GDPR huwa regolament, mhux direttiva: ir-Regolament (UE) 2016/679 huwa direttament applikabbli f'kull Stat Membru tal-UE u fiż-Żona Ekonomika Ewropea usa', li tinkludi n-Norveġja, l-Islanda u l-Liechtenstein [1][2]. L-artikoli ċentrali — ir-responsabbiltà, il-bażi legali, ir-ROPA, id-DPIA, id-drittijiet tas-suġġett tad-data — huma test identiku fil-Ġermanja, fi Franza, fl-Italja, fi Spanja, fil-Polonja, fis-Slovakkja u kullimkien. Kumpanija li topera madwar l-Ewropa tibni l-qalba tal-UE darba waħda.
Dak li jinbidel huwa saff nazzjonali mbni fuq dik il-qalba. Kull pajjiż għandu l-awtorità superviżorja tiegħu — is-CNIL fi Franza, il-Garante fl-Italja, l-AEPD fi Spanja, il-BfDI u l-awtoritajiet tal-Länder fil-Ġermanja, u l-bqija — u kull waħda tista' toħroġ speċifiċitajiet nazzjonali: l-età li fiha tifel jista' jagħti l-kunsens għal servizzi online (stabbilita fi kwalunkwe punt bejn it-13 u s-16-il sena madwar il-blokk), ir-regoli dwar id-data tal-impjieg, u l-lista tal-awtorità ta' operazzjonijiet li dejjem jeħtieġu DPIA. Il-koerenza fost dawn ir-regolaturi tinżamm flimkien mill-Bord Ewropew għall-Protezzjoni tad-Data u l-mekkaniżmu ta' punt uniku ta' kuntatt, biex il-qalba ma tinqasamx [8]. Għal kumpless tar-responsabbiltà, dan ifisser li l-istruttura hija uniformi u l-varjazzjoni hija limitata: immappja l-qalba tal-UE, imbagħad poġġi s-saff ta' speċifiċitajiet nazzjonali għal kull pajjiż li fih topera.
U huwa preċiżament għalhekk li Ewropew mhux l-istess bħal Renju Unit. Mill-Brexit 'l hawn, ir-Renju Unit huwa barra mill-GDPR tal-UE. Jopera l-UK GDPR tiegħu stess flimkien mad-Data Protection Act 2018, taħt is-superviżjoni tal-ICO, u beda jitbiegħed mit-test tal-UE permezz ta' riforma domestika. L-Iżvizzera, li qatt ma kienet fl-UE, għandha l-Att Federali rivedut tagħha dwar il-Protezzjoni tad-Data. Għalhekk kumpanija ffukata fuq l-UE għandha tittratta r-Renju Unit u l-Iżvizzera bħala reġimi separati u paralleli — ġurisdizzjonijiet distinti li jiġu ddokumentati fihom infushom — mhux bħala varjanti lokali tar-regolament tal-UE [2]. Ħafna pariri "GDPR" mifruxa b'mod wiesa' huma fil-fatt pariri tar-Renju Unit; għal ipproċessar iċċentrat fuq l-UE u ż-ŻEE, ir-regolament, ir-regolaturi, u t-testi ta' referenza li tiċċita huma dawk Ewropej.
Fejn ir-responsabbiltà ssir aktar diffiċli: l-IA u d-deċiżjonijiet awtomatizzati
L-adozzjoni tal-IA ma toħloqx univers ta' konformità separat, iżda żżid il-piż fuq il-kumpless tar-responsabbiltà. Tliet punti jgħoddu. L-ewwel, it-teħid ta' deċiżjonijiet awtomatizzat u t-tfassil ta' profili li jipproduċu effetti legali jew simili sinifikanti fuq il-persuni jġorru salvagwardji speċifiċi taħt l-Artikolu 22 — inkluż, f'ħafna każijiet, id-dritt għall-intervent uman [1]. It-tieni, l-IA li tipproċessa data personali fuq skala kbira, jew tfassal profili ta' individwi, ta' spiss tilħaq il-kriterji tal-Artikolu 35 u għalhekk tiskatta DPIA [1][3]. It-tielet, xorta jkollok bżonn bażi legali ċara u ddokumentata għal kull taħriġ jew inferenza mwettqa fuq data personali.
Fuq il-GDPR, l-Att dwar l-IA tal-UE (Regolament (UE) 2024/1689) jintroduċi saff separat ta' obbligi bbażat fuq ir-riskju fuq is-sistemi tal-IA nfushom [7]. Iż-żewġ reġimi jaħdmu b'mod parallel: l-Att dwar l-IA jirregola s-sistema, il-GDPR jirregola d-data personali li tmiss — u r-responsabbiltà taħt il-GDPR tapplika malli sistema tal-IA tipproċessa data personali, irrispettivament minn kif jikklassifikaha l-Att dwar l-IA. Il-konsegwenza prattika hija li organizzazzjoni li tmexxi x-xogħol lejn l-IA tiret aktar x'tiddokumenta, mhux inqas. Aħna nkopru l-konverġenza regolatorja usa' fil-gwida tagħna dwar il-governanza tal-IA u r-regoli li japplikaw, u l-mudell operattiv li jżomm din l-evidenza ġġenerata bħala prodott sekondarju tax-xogħol normali f'il-kumpanija mibnija fuq l-IAEN.
L-avvertiment onest: id-dokumentazzjoni hija meħtieġa, mhux suffiċjenti
Ikun konvenjenti li tgħid li, malli l-kumpless jeżisti, int konformi. M'intix — u li tagħmel tabirruħek li hu mod ieħor huwa l-mod klassiku kif ir-responsabbiltà tfalli. Tliet limiti onesti.
L-ewwel, id-dokumenti jridu jaqblu mar-realtà, u trid topera dak li jiddeskrivu. Politika li tiddeskrivi kontrolli tal-aċċess li s-sistemi tiegħek ma jinfurzawx, jew ROPA li jħalli barra s-CCTV fir-reception, mhix newtrali — hija evidenza ta' nuqqas ta' konformità. Il-kumpless juri r-responsabbiltà biss jekk ikun speċifiku, koerenti internament, u verament implimentat fil-prattika. It-tieni, kumpless tad-dokumentazzjoni mhuwiex parir legali, u mhuwiex ċertifikazzjoni. Il-produzzjoni tar-rekords li teħtieġ il-liġi hija abbozzar strutturat, mhux opinjoni legali dwar is-sitwazzjoni partikolari tiegħek; u m'hemm l-ebda status ta' "ċertifikat GDPR" mogħti billi jkollok dokumentazzjoni tajba — il-mogħdija formali taċ-ċertifikazzjoni taħt l-Artikolu 42 hija mekkaniżmu separat u akkreditat. It-tielet, xi sitwazzjonijiet jeħtieġu professjonist. DPIA verament kumplessa, struttura transkonfinali kkontestata, jew investigazzjoni regolatorja attiva mhumiex territorju ta' mudelli; il-mossa t-tajba hemmhekk hija li tirreferi lil konsulent ikkwalifikat, u proċess tajjeb ta' responsabbiltà jgħidlek meta.
L-isemmija ta' dawn il-limiti mhix evażjoni. Hija d-differenza bejn kumpless li jiflaħ l-iskrutinju u folder li jiġġarraf l-ewwel darba li xi ħadd jaqrah bir-reqqa.
Kif tibni l-kumpless tar-responsabbiltà tiegħek
Realistikament, hemm tliet modi kif tipproduċi l-kumpless. Ditta legali jew konsulent DPO jagħtik il-preċiżjoni u l-ġudizzju, iżda bil-mod u bi spiża li tagħfas fuq kumpanija iżgħar. Il-mudelli ġeneriċi huma mgħaġġla u rħas, iżda jfallu t-test tal-ispeċifiċità u l-koerenza li l-awtoritajiet fil-fatt japplikaw — u kumpless kontradittorju jew vojt huwa agħar minn lakuna onesta. It-tielet triq hija kumpless ipprodott bħala prodott u ġġenerat: twieġeb mistoqsijiet strutturati dwar il-kumpanija tiegħek u l-attivitajiet ta' pproċessar tagħha, u jiġi assemblat kumpless imfassal apposta u koerenti internament minn librerija ta' klawżoli mibnija fuq ir-regolament u l-gwida uffiċjali — mgħaġġel, bħall-mudelli, iżda speċifiku għalik, bħall-avukat.
Ibni l-kumpless mingħajr l-iskeda ta' ditta legali. Id-Dokumentazzjoni tar-Responsabbiltà GDPR ta' easyAI tibdel kwestjonarju qasir u ggwidat dwar il-kumpanija tiegħek u kif tittratta d-data personali f'kumpless tar-responsabbiltà mfassal apposta u koerenti internament — reġistru tal-attivitajiet ta' pproċessar, politika interna, avviżi tal-privatezza, kuntratti mal-proċessuri, valutazzjoni tal-interess leġittimu fejn teħtieġha, u skrining tad-DPIA — iġġenerat fi ftit jiem, bl-Ingliż flimkien mal-lingwa nazzjonali tiegħek, bi frazzjoni mill-ispiża ta' inkarigu apposta. Huwa appoġġ ta' dokumentazzjoni, mhux parir legali jew ċertifikazzjoni, u jassumi li int topera dak li jiddeskrivi. Jekk il-pass li jmiss tiegħek huwa l-IA aktar milli dokumenti, l-AI Foundation AuditEN (awditu tal-pedament tal-IA) jikklassifika fejn l-awtomatizzazzjoni tħallas lura; ibda bir-rapport ta' kampjunEN. Iż-żewġ prodotti jinsabu fuq il-pjattaforma easyAI fi aiprioritymap.com.
Is-sekwenza min-naħa tiegħek hija sempliċi: ivvenarja kull attività li tmiss data personali, iffissa bażi legali għal kull waħda, ikteb ir-rekords u l-avviżi li jiddeskrivuhom, iddokumenta l-fornituri, ivvaluta l-każijiet ta' riskju għoli, u waqqaf il-proċeduri tad-drittijiet u tal-ksur — imbagħad żomm kollox aġġornat hekk kif jinbidel l-ipproċessar tiegħek. Ir-responsabbiltà mhix proġett li ttemm; hija stat li żżomm. Iżda l-ewwel, l-aktar diffiċli 80 % — kumpless sħiħ, koerenti u speċifiku għall-kumpanija li tista' tqiegħed quddiem kull min jistaqsi — hija eżatt il-parti li issa tista' tiġi ġġenerata minflok mibnija bl-idejn.
Mistoqsijiet Frekwenti
Sommarju
Responsabbiltà GDPR — uriha, mhux biss isħaqha │ ├─ Il-prinċipju (Art 5(2), 24) │ ├─ Il-konformità trid tintwera, mhux biss tiġi asserita │ ├─ Il-piż tal-prova huwa fuqek, il-kontrollur │ └─ L-awtoritajiet jittestjaw l-ispeċifiċità + il-koerenza, mhux il-volum │ ├─ X'għandek tkun tista' turi │ ├─ ROPA — kull attività ta' pproċessar (Art 30) │ ├─ Bażi legali + valutazzjoni tal-interess leġittimu (Art 6) │ ├─ Avviżi · kuntratti mal-proċessuri · trasferimenti (Art 13/14, 28, Kap V) │ └─ DPIA fejn ir-riskju huwa għoli · proċeduri tad-drittijiet + ksur │ └─ Regolament wieħed, ħafna regolaturi ├─ L-UE + iż-ŻEE jaqsmu qalba waħda — immappjaha darba ├─ L-awtoritajiet nazzjonali jżidu speċifiċitajiet — CNIL, Garante, AEPD… └─ Mhux ir-Renju Unit — UK GDPR + il-FADP Żvizzeru huma separati
Għarfien Relatat
- Il-Governanza tal-IA u r-Regoli li Japplikaw — kif il-GDPR, l-Att dwar l-IA tal-UE u reġimi oħra jikkonverġu għal kumpanija li qed tikber.
- Il-Kumpanija Mibnija fuq l-IAEN — il-mudell operattiv fejn l-evidenza tar-responsabbiltà tiġi prodotta bħala prodott sekondarju tax-xogħol normali.
- Kif Tibni Reġistru tal-IA fi 90 Minuta — l-istess dixxiplina ta' dokumentazzjoni, applikata għas-sistemi tal-IA tiegħek.
- LLM Lokali kontra LLM fil-Cloud: is-Sigurtà tad-DataEN — fejn tinsab id-data tiegħek, u xi tfisser dik għat-trasferimenti u r-riskju.
Artikli sekondarji li ġejjin f'dan il-grupp: kif tibni reġistru tal-attivitajiet ta' pproċessar, meta u kif twettaq DPIA, l-għażla ta' bażi legali, il-proċeduri għad-drittijiet tas-suġġett tad-data, il-kuntratt ta' pproċessar tal-Artikolu 28, u l-GDPR għall-IA u d-deċiżjonijiet awtomatizzati.
L-aħħar aġġornament: Ġunju 2026. Verżjoni 1.0.
Frequently Asked Questions
X'inhu l-prinċipju tar-responsabbiltà fil-GDPR?
Liema dokumenti fil-fatt jeħtieġ il-GDPR?
Il-GDPR japplika bl-istess mod madwar l-Ewropa kollha?
Ir-Renju Unit huwa kopert mill-GDPR tal-UE?
Il-kumpaniji ż-żgħar u l-SMEs iridu jżommu reġistru tal-attivitajiet ta' pproċessar?
Meta kumpanija jkollha bżonn Valutazzjoni tal-Impatt fuq il-Protezzjoni tad-Data (DPIA)?
Nistgħu sempliċement nużaw mudelli ġeneriċi ta' dokumenti tal-GDPR?
L-użu tal-IA jbiddel l-obbligi tagħna taħt il-GDPR?
Sources
- 1.Regulation (EU) 2016/679 (General Data Protection Regulation) — European Union (EUR-Lex, Official Journal L 119) · 2016
- 2.Rules for business and organisations (data protection) — European Commission · 2024
- 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020) — European Data Protection Board (EDPB) · 2024
- 4.Record of processing activities (Article 30 guidance and template) — CNIL (French Data Protection Authority) · 2024
- 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28) — European Commission (EUR-Lex) · 2021
- 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfers — European Commission (EUR-Lex) · 2021
- 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act) — European Union (EUR-Lex, Official Journal) · 2024
- 8.European Data Protection Board — role and consistency mechanism — European Data Protection Board (EDPB) · 2024
- 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basis — Court of Justice of the European Union (EUR-Lex) · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.